FR2925720A1 - Systeme securise de transmission de donnees. - Google Patents

Systeme securise de transmission de donnees. Download PDF

Info

Publication number
FR2925720A1
FR2925720A1 FR0709059A FR0709059A FR2925720A1 FR 2925720 A1 FR2925720 A1 FR 2925720A1 FR 0709059 A FR0709059 A FR 0709059A FR 0709059 A FR0709059 A FR 0709059A FR 2925720 A1 FR2925720 A1 FR 2925720A1
Authority
FR
France
Prior art keywords
data
calculation
result
chain
datum
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0709059A
Other languages
English (en)
Other versions
FR2925720B1 (fr
Inventor
Bruno Aymeric
Patrice Eudeline
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to FR0709059A priority Critical patent/FR2925720B1/fr
Application filed by Thales SA filed Critical Thales SA
Priority to DE602008006612T priority patent/DE602008006612D1/de
Priority to US12/809,584 priority patent/US20100312996A1/en
Priority to AT08867303T priority patent/ATE507523T1/de
Priority to CA2710352A priority patent/CA2710352A1/fr
Priority to PCT/EP2008/067559 priority patent/WO2009083431A1/fr
Priority to EP08867303A priority patent/EP2235632B1/fr
Publication of FR2925720A1 publication Critical patent/FR2925720A1/fr
Application granted granted Critical
Publication of FR2925720B1 publication Critical patent/FR2925720B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1497Details of time redundant execution on a single processing unit

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Communication Control (AREA)
  • Circuits Of Receivers In General (AREA)
  • Selective Calling Equipment (AREA)

Abstract

L'invention concerne une chaîne de transmission de données pour une fonction d'un équipement embarqué d'aéronef comprenant une première chaîne de calcul et une deuxième chaîne de calcul exécutant la même fonction que la première chaîne pour valider le calcul de la première chaîne, caractérisé en ce que la deuxième chaîne de calcul utilise les mêmes ressources matérielles que la première chaîne et comporte, connectés en série, un moyen de transformation (3) des données d'entrée, un moyen d'acquisition (4), le calculateur (5), un moyen de compensation de la transformation (51) et le moyen de comparaison (53), de façon que la deuxième chaîne de calcul exécute un calcul dissimilaire de la première chaîne de calcul et le moyen de compensation de transformation (51) permet de comparer les données résultats de la première et la deuxième chaîne de calcul.L'invention est particulièrement adaptée au domaine aéronautique.

Description

SYSTEME SECURISE DE TRANSMISSION DE DONNEES
Le domaine de l'invention concerne les équipements aéronautiques embarqués réalisant des fonctions critiques. Plus généralement, l'invention concerne tout système sécurisé, c'est-à-dire les systèmes devant démontrer une probabilité de panne faible.
Pour les équipements embarqués notamment dans le domaine 1 o aéronautique, il est important de pouvoir démontrer que la probabilité de certains événements est faible. Les évènements sont généralement la survenue d'une panne matérielle, ayant pour conséquence un comportement erroné, notamment l'affichage d'une information incorrecte à un pilote par exemple, et la non détection de cette panne. 15 On ne tolère pour certains de ces évènements qu'une probabilité très faible. Dans le monde aéronautique, cette probabilité est exprimée en nombre d'évènements par heure de vol. Pour les évènements les plus critiques, on doit démontrer une probabilité inférieure à 10-9/heure. De plus, pour ce genre d'événement, on ,ne tolère pas qu'une panne simple puisse 20 créer l'effet redouté. Par exemple, si la panne d'un seul composant électronique particulier peut créer l'affichage erroné d'une information, et que la probabilité de cet événement est de l'ordre de 10-7/heure, alors le design sera rejeté par les autorités de certification. L'art existant consiste alors à dupliquer les chaînes de calculs 25 comme illustré sur la figure 1. Par exemple, une chaîne effectue le calcul 540 réalisé par un calculateur 500 pour fournir la fonction désirée, l'affichage d'une information au pilote, l'autre chaîne effectue le même calcul 540 réalisé par un autre calculateur 600 pour s'assurer que la première chaîne fonctionne correctement. La première chaîne est habituellement appelée 30 COM pour commande, l'autre MON pour Monitoring. Si la chaîne MON détecte une erreur par un moyen de comparaison 530 des données résultats, elle a généralement autorité pour désactiver la chaîne COM. Elle peut aussi 2
forcer un affichage pour alerter les pilotes, ou les opérateurs dans un cas plus général. La fonction de la chaîne MON est généralement double. D'une part, elle sécurise les calculs qui sont effectués par la chaîne COM mais elle doit également sécuriser les données d'entrées que la chaîne COM a prises en compte pour effectuer ses calculs. On peut aujourd'hui démontrer qu'une simple chaîne matérielle permet d'obtenir un calcul sécurisé. En effet, les architectures actuelles incluent: - Des méthodes robustes de partage du temps microprocesseur ainsi que des mémoires. - Des mécanismes de détection et correction d'erreur sur les mémoires permettant de garantir qu'une information stockée en mémoire ne sera pas corrompue.
Alors, sous réserve que la chaîne MON effectue un calcul dissimilaire par rapport à la chaîne COM, et que les ressources mémoires utilisées soient différentes on peut démontrer que la fonction MON peut utiliser le même micro-processeur que la chaîne COM.
Pour obtenir une réelle mono-chaîne matérielle, il reste alors à sécuriser les données d'entrées du calcul. Mais le problème reste lorsqu'une panne matérielle survient. En effet, cette panne ne doit pas causer une erreur dans le calcul de la chaîne COM qui ne serait pas détectée par la chaîne MON. On pourrait alors penser à simplement dupliquer l'électronique d'acquisition des données d'entrées. Le problème est que lorsque COM et MON sont abrités par le même microprocesseur, il est extrêmement difficile de démontrer qu'une panne particulière ne pourra pas donner le même effet sur les deux calculs. En effet, il se pourrait que le même bit d'un registre de donnée soit erroné pour que la donnée d'entrée sur COM et MON soit identique mais erronée.
Plus précisément, 'l'invention concerne une chaîne de transmission de données pour une fonction d'un équipement embarqué d'aéronef comprenant : - une première chaîne de calcul comportant un calculateur exécutant une fonction sur une donnée enregistrée dans une mémoire par un moyen d'acquisition et fournissant une première donnée résultat, la donnée enregistrée étant une première donnée d'entrée arrivant sur une première entrée du moyen d'acquisition, - une deuxième chaîne de calcul exécutant la même fonction que la première chaîne, fournissant une deuxième donnée résultat et comportant un moyen de comparaison des données résultat pour valider le calcul de la première chaîne. La chaîne de transmission est caractérisée en ce que la deuxième chaîne de calcul utilise les mêmes ressources matérielles que la première chaîne et comporte, connectés en série, un moyen de transformation des données d'entrée, le moyen d'acquisition, le calculateur, un moyen de compensation de la transformation et le moyen de comparaison, de façon que la deuxième chaîne de calcul exécute la fonction sur une deuxième donnée enregistrée dans une mémoire, cette deuxième donnée étant la transformée de la première donnée d'entrée de façon que le calculateur exécute un calcul dissimilaire de la première chaîne de calcul, et le moyen de compensation de la transformation permet de comparer les données résultats de la première et la deuxième chaîne de calcul.
Par ces dispositions, l'invention atteint bien les buts qu'elle s'est fixée : - Une panne du mécanisme d'adressage du moyen d'acquisition sera détectée ; - Une panne du mécanisme de décodage du moyen d'acquisition sera 30 détectée ; 4
Le microprocesseur exécute des calculs dissimilaires sur des données provenant de zones mémoires différentes ; une panne du microprocesseur et du contrôleur mémoire aura alors des effets différents sur les deux chaînes. La chaîne de monitoring détectera donc la panne.
La chaîne de transmission selon l'invention présente de nombreux avantages parmi lesquels : - Les données d'entrée ainsi que les calculs de la première chaîne sont sécurisés par la deuxième chaîne de calcul; - La chaîne de calcul sécurisée est entièrement mono-chaîne matérielle entraînant une réduction des ressources matérielles nécessaires et donc une réduction de la consommation, du coût et de la masse des équipements embarqués concernés.
L'invention sera mieux comprise et d'autres avantages apparaîtront à la lecture de la description qui va suivre donnée à titre non limitatif et grâce aux figures annexées parmi lesquelles : La figure 1 représente selon l'art antérieur une chaîne de calcul sécurisée par duplication matérielle.
La figure 2 représente une chaîne de calcul sécurisée selon l'invention. La figure 3 représente un mode de mise en oeuvre de l'invention.
L'homme du métier connaît bien le principe de sécurisation des dispositifs comme illustrés par la figure 1. La chaîne de calcul est dupliquée matériellement, utilisant deux microprocesseurs 500 et 600, pour détecter les éventuelles pannes matérielles du microprocesseur 500. Le résultat de la première chaîne de calcul doit être validé par le résultat de la seconde chaîne.
A titre d'exemple non limitatif, la figure 2 représente une chaîne de transmission de données du standard ARINC 429 d'un équipement embarqué selon l'invention. Pour rappel, le bus ARINC 429 est un standard développé spécifiquement pour le domaine de l'aéronautique. Le principe de ce bus de données est connu de l'homme du métier. L'ARINC 429 est basé sur un transfert série de mots de 32bits. Sur ces 32 bits, 8 bits sont réservés au codage d'un numéro de label, chaque label correspondant à un type d'information, 2 bits à un statut, (valeur valide, non calculée, en erreur), 1 bit 1 o pour un contrôle de parité, les autres pouvant être utilisés pour encoder de l'information. La chaîne de transmission selon l'invention de la figure 2 utilise un unique microprocesseur 5 réalisant une fonction de calcul 54. Pour réaliser la fonction le microprocesseur doit récupérer les données à calculer dans des 15 espaces mémoires pouvant être répartis en plusieurs ressources mémoires. La chaîne de transmission de données comporte un moyen d'acquisition des données 4 comprenant des liaisons d'entrées 41 et 42. Le moyen d'acquisition 4 est un circuit permettant de dé-sérialiser les données de type ARINC 429 provenant des bus série 41 et 42. Ces 20 liaisons d'entrée peuvent être connectées à d'autres équipements embarqués communiquant avec des bus ARINC 429. Le circuit 4 est capable de gérer simultanément une cinquantaine de liaisons d'entrées/sorties. Les liaisons d'entrées comportent des circuits de démodulation 1 et 2 de bus ARINC 429. Le circuit 4 fonctionne sur la base d'une détection du numéro de 25 label et enregistrement de la valeur codée dans une mémoire allouée spécialement à chaque label. Les mémoires 410, 420 sont matériellement différentes et non intégrées au circuit 4. Le circuit de dé-sérialisation 4 adresse les données provenant de liaisons distinctes 41 et 42 à des blocs mémoires distincts. Les données étant également enregistrées à des 30 adresses mémoire distinctes lorsque les labels sont différents.
La première chaîne de calcul comprend le démodulateur 1 connecté à l'entrée 41 du circuit de dé-sérialisation 4. Une première donnée d'entrée est alors enregistrée dans un bloc mémoire 410 à une adresse 411. Cette adresse mémoire est adressée par le micro-processeur 5 pour récupérer la donnée en vue d'être calculée par une fonction 54. Cette fonction fournit ensuite une première donnée résultat. Afin de prouver que la fiabilité de cette chaîne de calcul respecte les contraintes aéronautiques, une deuxième chaîne de calcul est associée à cette première chaîne de calcul. Cette deuxième chaîne de calcul comporte un démodulateur 2, un moyen de transformation de données 3 connecté à une autre liaison d'entrée 42 du circuit 4. La donnée en entrée du moyen de transformation de donnée 3 est la même que la première donnée en entrée de la première chaîne de calcul. Avantageusement, le moyen de transformation modifie la première donnée d'entrée en une deuxième donnée, le label de la deuxième donnée devenant un label dissimilaire de la première donnée d'entrée de façon que le moyen d'acquisition 4 adresse la deuxième donnée à une adresse mémoire différente de celle de la première donnée. Avantageusement, le moyen de transformation modifie la première donnée d'entrée en une deuxième donnée, l'information de la deuxième donnée devenant une information dissimilaire de l'information de la première donnée d'entrée. La conséquence est que la même donnée d'entrée est enregistrée directement par la première chaîne de calcul et indirectement par la deuxième chaîne de calcul via le moyen de transformation des données 3: - Dans deux blocs mémoires différents 410 et 420 car provenant de liaisons d'entrées 41 et 42 distinctes ; - Dans chaque bloc 410 et 420, à des adresses 411 et 421 nettement différentes puisque le numéro de label est différent ; - En codage transformé dans un des deux blocs. 7
Les modes de pannes du moyen d'acquisition dans les mémoires peuvent être: - Panne d'un mécanisme d'adressage (le bit est bloqué dans un état) : évènement entraînant l'écrasement d'une certaine adresse d'un certain bloc par une donnée qui aurait du être stockée ailleurs. Le même écrasement ne pourra pas se produire sur le même bloc, car les données arrivent sur le moyen d'acquisition par des liaisons d'entrée distinctes, et sur la même adresse, car la donnée transformée possède un label différent. La donnée d'entrée directe et la donnée transformée ne seront alors plus compatibles l'une de l'autre. - Panne d'un mécanisme de décodage : évènement entraînant le forçage d'un bit de donnée. La conséquence n'est pas la même sur les deux chaînes La donnée directe et la donnée transformée ne seront plus compatibles l'une de l'autre.
La chaîne de monitoring devra donc prendre en entrée du calculateur 5 des données transformées, compenser la transformation par le moyen 51, et utiliser ces données pour valider les calculs de la chaîne COM avec un moyen de comparaison 53. La chaîne MON exécute la même fonction sur une donnée différente de la chaîne COM. Le calculateur 5 exécute donc un calcul différent pour les deux chaînes. N'importe quelle panne au niveau du microprocesseur ou du contrôleur mémoire (bit forcé à 1 ou 0 par exemple) aura alors un effet différent sur les deux chaînes. La chaîne de monitoring détectera donc le problème. Dans un mode de mise en oeuvre illustré en figure 3, le moyen de transformation 3 des données d'entrée est un inverseur de données et le moyen de compensation de transformation 51 compense l'effet de l'inverseur de données, l'inversion consistant à transformer un bit 0 en bit 1 et réciproquement : - Le moyen d'inversion 3 des données a sa sortie connectée à une 30 seconde entrée 42 du moyen d'acquisition de données 4 ; Le calculateur 4 récupère la donnée inversée dans la mémoire 420 et fournit une donnée résultat inversée ; Le moyen de compensation 51 compense l'inversion sur la donnée résultat inversée et fournit une deuxième donnée résultat ; Le moyen de comparaison 53 de la deuxième chaîne teste la première donnée résultat avec la deuxième donnée résultat et déclenche une alerte en cas de non concordance des données résultat. Les données d'entrée du bus ARINC 429 sont transformées dans un inverseur avant d'être enregistrées dans la mémoire 420. Une donnée d'entrée comporte un champ de label 31 et un champ 32 contenant l'information à décoder. Dans ce mode de mise en oeuvre, il suffit d'inverser ces deux champs. Le label de la donnée arrivant sur la liaison d'entrée 42 devient ainsi totalement différent du label de la donnée d'entrée arrivant sur la liaison d'entrée 41 du moyen d'acquisition. Les bits de l'information décodée sont aussi en totalité différents; les bits de données étant tous inversés. La fonction d'inversion peut être réalisée facilement sur un circuit reprogrammable de technologie FPGA , Field Programmable Gate Array en langage anglo-saxon.
Dans ce mode de mise en oeuvre, le moyen de transformation 3 est un inverseur de données, transformant un bit 0 en un bit 1 . Il s'agit de la transformation la plus simple à mettre en oeuvre et nécessite peu de ressources matérielles pour la mise en place. Il est clair toutefois que n'importe quel autre moyen de transformation modifiant les bits de données peut être utilisé. Néanmoins, l'inversion des données est le moyen le plus sûr pour tester la chaîne de calcul car tous les bits de la donnée sont modifiés. Il est possible d'utiliser des fonctions transformant les données partiellement au risque que la panne se situe sur un bit non modifié et par conséquent faisant échouer la détection de l'erreur.30 9
L'invention concerne également un procédé de détection d'erreur d'une chaîne de transmission de donnée, caractérisé en ce que la deuxième chaîne de calcul réalise les étapès suivantes pour valider la première donnée résultat de la première chaîne de calcul: à une première étape, transformation de la donnée d'entrée ; à une deuxième étape, enregistrement de la donnée transformée dans une mémoire; à une troisième étape, lecture de la donnée transformée ; à une quatrième étape, calcul de la donnée transformée ; - à une cinquième étape, compensation de la transformation, réalisée à la première étape, sur la donnée résultat transformée, étape produisant la deuxième donnée résultat; A une sixième étape, comparaison de la première et la deuxième donnée résultat ; A une septième étape, si les résultats sont différents, désactivation de la chaîne de calcul et affichage d'une alerte pour l'opérateur. Ce procédé est remarquable car il permet de détecter une erreur sur une chaîne de calcul dont le principe est basé sur la duplication de la chaîne de calcul tout en utilisant une unique architecture matérielle. La 20 caractéristique du procédé repose sur le fait que les ressources matérielles sont sollicitées pour exécuter des opérations différentes tout en disposant d'un moyen de comparer les résultats des calculs entre eux en fin de chaîne. Dans le mode de mise en oeuvre illustré à la figure 3, la deuxième chaîne de calcul réalise les étapes suivantes pour valider le résultat de la 25 première chaîne: A une première étape, inversion de la donnée d'entrée ; A une deuxième étape, enregistrement dans la mémoire d'une deuxième donnée dans une zone mémoire, cette deuxième donnée étant l'inverse de la première donnée d'entrée ; 30 A une troisième étape, lecture de la deuxième donnée ; - A une quatrième étape, calcul de la deuxième donnée ; A une cinquième étape, compensation de l'inversion sur la seconde donnée résultat ; A une sixième étape, comparaison de la première donnée résultat et de la seconde donnée résultat ; A une septième étape, si les résultats sont différents, désactivation de la chaîne de calcul et affichage d'une alerte pour l'opérateur.
Bien que l'invention soit développée pour une chaîne de transmission de données de bus ARINC 429, il est qu'elle peut être utilisée pour des bus de données de standard différent. Bien que particulièrement adaptée aux systèmes de transmission de données numériques dans le domaine aéronautique, on ne saurait cantonner l'invention à ce domaine d'application. Elle s'applique à tout dispositif devant prouver un taux de panne faible et pourrait donc concerner également des applications spatiales et automobiles. Dans notre exemple, l'invention s'applique à un dispositif d'affichage d'aéronef réalisant des fonctions intervenant pour l'affichage et comportant une chaîne de transmission de données selon l'invention pour réaliser l'une des fonctions. L'invention concerne également tout dispositif embarqué d'aéronef réalisant des fonctions de calculs critiques, comportant une chaîne de transmission de données selon l'invention.

Claims (9)

REVENDICATIONS
1. Chaîne de transmission de données pour une fonction d'un équipement embarqué d'aéronef comprenant : une première chaîne de calcul comportant un calculateur (5) exécutant une fonction sur une donnée enregistrée dans une mémoire (410) par un moyen d'acquisition (4) et fournissant une première donnée résultat, la donnée enregistrée étant une première ~o donnée d'entrée arrivant sur une première entrée (41) du moyen d'acquisition, une deuxième chaîne de calcul exécutant la même fonction que la première chaîne, fournissant une deuxième donnée résultat et comportant un moyen de comparaison (53) des données résultat 15 pour valider le calcul de la première chaîne, caractérisé en ce que la deuxième chaîne de calcul utilise les mêmes ressources matérielles que la première chaîne et comporte, connectés en série, un moyen de transformation (3) des données d'entrée, le moyen d'acquisition (4), le calculateur (5), un moyen de compensation 20 de la transformation (51) et le moyen de comparaison (53), de façon que la deuxième chaîne de calcul exécute la fonction sur une deuxième donnée enregistrée dans une mémoire (420), cette deuxième donnée étant la transformée de la première donnée d'entrée de façon que le calculateur (5) exécute un calcul dissimilaire de la première chaîne de 25 calcul ; le moyen de compensation (51) de transformation permet de comparer les données résultats de la première et la deuxième chaîne de calcul.
2. Chaîne de transmission de données selon la revendication 1 30 dont les données comportent au moins un label (31) et une information (32), le label permettant au moyen d'acquisition (4) d'identifier la donnée et de l'enregistrer dans une zone mémoire précise, caractérisé en ce que le moyen de transformation (3) modifie la première donnée d'entrée en une deuxième donnée, l'information (34) de la deuxième donnée devenant une information dissimilaire de l'information (32) de la première donnée d'entrée.
3. Chaîne de transmission de données selon au moins l'une des revendications précédentes dont les données comportent au moins un label et une information, caractérisé en ce que le moyen de transformation modifie la première donnée d'entrée en une deuxième donnée, le label (33) de la deuxième donnée devenant un label dissimilaire de celui (31) de la première donnée d'entrée de façon que le moyen d'acquisition adresse la deuxième donnée à une adresse mémoire différente de celle de la première donnée.
4. Chaîne de transmission selon au moins l'une des revendications 1 à 3, caractérisé en ce que le moyen de transformation (3) des données d'entrée est un inverseur de données et que le moyen de compensation (51) de transformation compense l'effet de l'inverseur de données, l'inversion consistant à transformer un bit à 0 en bit à 1 et réciproquement : - Le moyen d'inversion des données a sa sortie connectée à une seconde entrée (42) du moyen d'acquisition de données (4) ; - Le calculateur (5) récupère la donnée inversée dans la mémoire (420) et fournit une donnée résultat inversée ; - Le moyen de compensation (51) compense l'inversion sur la donnée résultat inversée et fournit une deuxième donnée résultat ; Le moyen de comparaison (53) de la deuxième chaîne teste la première donnée résultat avec la deuxième donnée résultat et déclenche une alerte en cas de non concordance des données 30 résultat.
5. Procédé de détection d'erreur d'une chaîne de transmission de donnée selon la revendication 3, caractérisé en ce que la deuxième chaîne de calcul réalise les étapes suivantes pour valider la première donnée résultat de la première chaîne de calcul: à une première étape, transformation de la donnée d'entrée ; à une deuxième étape, enregistrement de la donnée transformée dans une mémoire (420); à une troisième étape, lecture de la donnée transformée à une quatrième étape, calcul de la donnée transformée ; - à une cinquième étape, compensation de la transformation, réalisée à la première étape, sur la donnée résultat transformée, étape donnant la deuxième donnée résultat; A une sixième étape, comparaison de la première et la deuxième donnée résultat ; A une septième étape, si les résultats sont différents, désactivation de la chaîne de calcul et affichage d'une alerte pour l'opérateur.
6. Procédé de détection d'erreur d'une chaîne de transmission de donnée selon la revendication 4, caractérisé en ce que la deuxième chaîne de calcul réalise les étapes suivantes pour valider le résultat de la première chaîne: - A une première étape, inversion de la donnée d'entrée ; A une deuxième étape, enregistrement dans la mémoire d'une deuxième donnée dans une zone mémoire, cette deuxième donnée étant l'inverse de la première donnée d'entrée ; - A une troisième étape, lecture de la deuxième donnée ; A une quatrième étape, calcul de la deuxième donnée ; A une cinquième étape, compensation de l'inversion sur la seconde donnée résultat ; - A une sixième étape, comparaison de la première donnée résultat et de la seconde donnée résultat ; A une septième étape, si les résultats sont différents, désactivation de la chaîne de calcul et affichage d'une alerte pour l'opérateur.
7. Chaîne de transmission de données selon la revendication 4, caractérisée en ce qu'elle est de type ARINC 429 et en ce qu'elle réalise le procédé selon la revendication 6.
8. Dispositif d'affichage d'aéronef réalisant des fonctions intervenant pour l'affichage, caractérisé en ce qu'il comporte une chaîne de transmission de données selon la revendication 4 pour réaliser l'une des fonctions.
9. Dispositif embarqué d'aéronef réalisant des fonctions de calcul critiques, caractérisé en qu'il comporte une chaîne de transmission de données selon la revendication 4 pour réaliser l'une des fonctions.
FR0709059A 2007-12-21 2007-12-21 Systeme securise de transmission de donnees. Expired - Fee Related FR2925720B1 (fr)

Priority Applications (7)

Application Number Priority Date Filing Date Title
FR0709059A FR2925720B1 (fr) 2007-12-21 2007-12-21 Systeme securise de transmission de donnees.
US12/809,584 US20100312996A1 (en) 2007-12-21 2008-12-15 Secure system for data transmission
AT08867303T ATE507523T1 (de) 2007-12-21 2008-12-15 Gesichertes datenübertragungssystem
CA2710352A CA2710352A1 (fr) 2007-12-21 2008-12-15 Systeme securise de transmission de donnees
DE602008006612T DE602008006612D1 (de) 2007-12-21 2008-12-15 Gesichertes datenübertragungssystem
PCT/EP2008/067559 WO2009083431A1 (fr) 2007-12-21 2008-12-15 Systeme securise de transmission de donnees
EP08867303A EP2235632B1 (fr) 2007-12-21 2008-12-15 Systeme securise de transmission de donnees

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0709059A FR2925720B1 (fr) 2007-12-21 2007-12-21 Systeme securise de transmission de donnees.

Publications (2)

Publication Number Publication Date
FR2925720A1 true FR2925720A1 (fr) 2009-06-26
FR2925720B1 FR2925720B1 (fr) 2009-12-11

Family

ID=39650668

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0709059A Expired - Fee Related FR2925720B1 (fr) 2007-12-21 2007-12-21 Systeme securise de transmission de donnees.

Country Status (7)

Country Link
US (1) US20100312996A1 (fr)
EP (1) EP2235632B1 (fr)
AT (1) ATE507523T1 (fr)
CA (1) CA2710352A1 (fr)
DE (1) DE602008006612D1 (fr)
FR (1) FR2925720B1 (fr)
WO (1) WO2009083431A1 (fr)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2948792B1 (fr) * 2009-07-30 2011-08-26 Oberthur Technologies Procede de traitement de donnees protege contre les attaques par faute et dispositif associe
US9564441B2 (en) 2014-09-25 2017-02-07 Kilopass Technology, Inc. Two-transistor SRAM semiconductor structure and methods of fabrication
US9449669B2 (en) 2014-09-25 2016-09-20 Kilopass Technology, Inc. Cross-coupled thyristor SRAM circuits and methods of operation
US9460771B2 (en) 2014-09-25 2016-10-04 Kilopass Technology, Inc. Two-transistor thyristor SRAM circuit and methods of operation
US9530482B2 (en) 2014-09-25 2016-12-27 Kilopass Technology, Inc. Methods of retaining and refreshing data in a thyristor random access memory
US9613968B2 (en) 2014-09-25 2017-04-04 Kilopass Technology, Inc. Cross-coupled thyristor SRAM semiconductor structures and methods of fabrication
US20160093624A1 (en) 2014-09-25 2016-03-31 Kilopass Technology, Inc. Thyristor Volatile Random Access Memory and Methods of Manufacture
US9564199B2 (en) 2014-09-25 2017-02-07 Kilopass Technology, Inc. Methods of reading and writing data in a thyristor random access memory
US9496021B2 (en) * 2014-09-25 2016-11-15 Kilopass Technology, Inc. Power reduction in thyristor random access memory
US9741413B2 (en) 2014-09-25 2017-08-22 Kilopass Technology, Inc. Methods of reading six-transistor cross-coupled thyristor-based SRAM memory cells

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5880982A (en) * 1994-09-22 1999-03-09 The Secretary Of State For The Defence Evaluation And Research Agency In Her Britannic Majesty'government Of The United Kingdom Of Great Britain And Northern Ireland Error detecting digital arithmetic circuit
EP1569118A2 (fr) * 2004-02-24 2005-08-31 Giesecke & Devrient GmbH Méthode pour le calcul sécurisé de résultats dans une système à microprocesseurs

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5880982A (en) * 1994-09-22 1999-03-09 The Secretary Of State For The Defence Evaluation And Research Agency In Her Britannic Majesty'government Of The United Kingdom Of Great Britain And Northern Ireland Error detecting digital arithmetic circuit
EP1569118A2 (fr) * 2004-02-24 2005-08-31 Giesecke & Devrient GmbH Méthode pour le calcul sécurisé de résultats dans une système à microprocesseurs

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PEERCY M ET AL: "FAULT TOLERANT VLSI SYSTEMS", PROCEEDINGS OF THE IEEE, IEEE. NEW YORK, US, vol. 81, no. 5, 1 May 1993 (1993-05-01), pages 745 - 758, XP000325295, ISSN: 0018-9219 *

Also Published As

Publication number Publication date
FR2925720B1 (fr) 2009-12-11
EP2235632A1 (fr) 2010-10-06
WO2009083431A1 (fr) 2009-07-09
ATE507523T1 (de) 2011-05-15
EP2235632B1 (fr) 2011-04-27
US20100312996A1 (en) 2010-12-09
CA2710352A1 (fr) 2009-07-09
DE602008006612D1 (de) 2011-06-09

Similar Documents

Publication Publication Date Title
EP2235632B1 (fr) Systeme securise de transmission de donnees
CN111480147B (zh) 用于针对纠错码功能的联机功能测试的系统和方法
US8677211B2 (en) Data bus inversion using spare error correction bits
US9582669B1 (en) Systems and methods for detecting discrepancies in automobile-network data
FR3038752A1 (fr)
FR3014273A1 (fr) Systeme de transmission de donnees applicatives avioniques
EP2865100B1 (fr) Dispositif de correction de deux erreurs avec un code de distance de hamming trois ou quatre
FR3071079B1 (fr) Procede de transmission et de verification de validite de donnees de configuration dans un systeme electronique, systeme electronique et produit programme d'ordinateur associes
FR3045822A1 (fr) Procede permettant d alimenter les donnees de diagnostiques pour generer les tests de controle dans un processus de controle technique
CN116009510A (zh) 车载控制系统异常处理方法、装置和车辆
EP1089175B1 (fr) Système informatique sécurisé
US7565586B2 (en) Method and apparatus for latent fault memory scrub in memory intensive computer hardware
EP3893117B1 (fr) Circuit de vérification du contenu de registres
US10437665B2 (en) Bad bit register for memory
EP2250561B1 (fr) Dispositif permettant l'utilisation d'un composant programmable dans un environnement radiatif naturel
US11966503B2 (en) Glitch attack mitigation for in-vehicle networks
EP4070195B1 (fr) Système informatique embarqué à bord d'un porteur mettant en oeuvre au moins un service critique pour la sûreté de fonctionnement du porteur
US20220326298A1 (en) Signal test
EP4099229A1 (fr) Accélérateur systolique de réseau de neurones et système électronique et procédé de test associés
US10153893B2 (en) Analysis device, analysis method and computer readable medium
WO2013186377A1 (fr) Procédé d'enregistrement de données, procédé de détection des erreurs d'accès à une mémoire et dispositif associé
FR2502814A1 (fr) Procede et dispositif de controle des entrees d'un processeur de securite

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20130830